日本版SOX法に「踊らされない」ために大切なこと：CIOの視点で考える内部統制（1）（1/2 ページ）

日本版SOX法・内部統制への注目が高まっている。これにどう対応するかに焦点が当たっているが、その前にじっくり考えておくべきことがある。

日本版SOX法ブームに対する懸念

　昨今、日本版SOX法についての議論が花盛りである。どのイベントにおいても「日本版SOX法」の冠が付いたセミナーは盛況で、書店にも日本版SOX法と銘打った本が多数並んでいる。その多くは、日本版SOX法や内部統制がそもそも何であるかを語った解説本か、その準備プロセスの進め方・ドキュメントを作る方法などのノウハウを述べたものである。

　しかしながら、こうした“傾向と対策”を入手して粛々と実施すれば、何となく内部統制システムが構築でき、日本版SOX法への対応が出来上がる……とは限らない。少なくとも、満足のいく内部統制にはならないのではないか、という懸念をわれわれは持っている。テクニックが優先したプロジェクトの進め方は本質を見えにくくするからだ。

　この連載の目的は、CIO（もしくはその視点を持とうとしている人）の立場で今回の法改正をどうとらえるべきなのか、どういった姿勢で内部統制への取り組みを行っていくべきなのかを提言することにある。

　CIOの立場で考えたとき、内部統制・IT統制が重要とはいっても、しょせんはCIOが行うべきITマネジメント責務の多くの課題の1つにしかすぎない。日本では、時代の流行のトピックが大きく取りざたされて大騒ぎになる傾向があるため、優先順位の判断が惑わされがちになる。

　本稿ではまず、流行に流されることなく、内部統制という課題を見据えながらITマネジメントを進化させるために、いかに地に足を着けた対応が重要であるかを考えていきたい。

ある役員のつぶやきに答えて

　われわれ、EDS Japanのトランスフォーメーションサービス部は、これまで経営とITが相乗効果を上げていくためのアドバイスを、数々の企業に行ってきた。当社で特徴的なのは、

• EDSは、グローバルIT企業としてリスクマネジメント専門のチームを持ち、米国SOX法をはじめとする各種のリスク対策アドバイスを、多くの企業に対して行ってきたこと
• 自らがグローバルに展開する米国企業として、米国SOX法への対応を行ってきたこと

にある。こうしたユニークな経験から、現在、ITマネジメント全般に関してアドバイスを展開している。

　そんなわれわれは、数カ月前ある大手企業のIT担当の重役が口にした、次のような言葉を耳にした。

　「わが社は、これまでにも法改正などの要求には、いち早く対応してきた。ISMSを取らなきゃいかんということで取り、個人情報保護法対策もやらなければいかんということで大騒ぎをしてPマークを取得した。しかし、古くは2000年問題もそうだったが、終わってみれば一過性の熱病のようなもので、対応をしたからといって何がどう変わったというほどのこともない。ただブームに踊らされ、ベンダをいいようにもうけさせただけだったような気がする。今度は踊らされないよう、ちゃんと他社がどうするかをじっくり見極めてから対処する」

　こうした考えは、日本版SOX法にかかわる人々の1つの本音を代弁しているものではないだろうか？ こうした考えの人にとっては、最小コストで法律すれすれに課題をクリアするのが、「踊らされない」正しい対処ということなのかもしれない。

　われわれは、こうした問いに対して答えるとき、2000年問題でご一緒したある外資系の金融機関の話を引き合いに出すことにしている。

　当時、その企業は2000年問題をBCP（事業継続計画）の一環ととらえていた。つまり、単に2000年を大過なく過ごすことのみを考えるのではなく、事業継続性を大きく強化する機会として位置付けていたのである。

　このBCPプランは各種リスクへの対応策の検討を求めており、2000年を超えてからも毎年更新していくことを金融機関の責務としていた。対処ケースの中には、「もし、テロによって会社の中枢が吹き飛ばされたときに、会社のダメージを減ずるための処置をどうすべきか」といったたぐいのものも含まれており、もちろん地震が起きた際の対応も詳細に明記することを求めていた。

　その金融機関のマネジメントにしてみれば、日本はこれだけ地震の多い国でありながら東京本社に機能が一極集中しており、にもかかわらず組織として見るべきBCPを用意していないというのは、株主に対する背任行為と同義に思えたに違いない。赤裸々に書けば、われわれコンサルタントを含め、当時の日本ではテロの脅威ということを具体的にイメージして考えることができず、こうしたシナリオに対してはシニカルでおざなりに対応していた。忙しい事業部門ほどその手抜きは顕著だった。

　これを憂慮した当時のCEOはシニアマネージャのミーティングで机をばんばんたたきながら、ありったけの汚い言葉で恫かつを加えた。「おめえら、ボーナスをカットするぞ、と脅されないと動かんのか！ これは会社にとって通常のオペレーションと同等の重要性があるんだぞ！」

　このままサボタージュすればテロの危険性はともかく、自分は確実に2000年をこの会社で迎えられないと悟ったシニアマネージャたちは、少なくとも経営陣が考える優先順位を理解して、驚くほど態度を改めた。ただし、多くの人間がテロの発生を現実的な脅威として真に理解するのはそれから数年後のこと。顧みれば、そのCEOは優れた先見性を発揮したということになる。

　この会社は以降もBCPを定期的に改定し、リスク管理の最先端を走っている。その企業の中で「2000年問題とは何だったのか」という疑問は、少なくとも管理職以上の人々からは聞かれない。

　この例で伝えたいのは、会社として（また経営陣として）自らの立ち位置を設定することの重要性である。先の役員のつぶやきに対していえば、「踊らされない」の反対は、実は「踊らない」ことではなく「自分の踊りを自らの判断で踊ること」なのだということである。